Wyze, fabricant de camras de scurit, a rcemment admis une faille de scurit qui a permis environ 13 000 clients de voir temporairement l’intrieur des maisons d’autres utilisateurs. Initialement, la socit avait mentionn 14 personnes touches, mais ce chiffre a t revu la hausse. La vulnrabilit est attribue une bibliothque tierce de mise en cache, entranant une confusion entre l’identification de l’appareil et de l’utilisateur. Wyze prsente des excuses dans un e-mail aux clients, voquant la responsabilit de son partenaire AWS et annonant des mesures correctives, notamment une vrification supplmentaire avant d’accder aux images. Certains utilisateurs expriment leur dgot et leur violation, et la socit risque des recours collectifs malgr les excuses et les actions correctives.
Wyze affirme que 99,75 % des comptes n’ont pas t affects par le problme qui a permis 13 000 clients d’accder des images et, dans certains cas, des vidos provenant de camras Wyze qui ne leur appartenaient pas. Mais pour certains, cette rvlation n’efface pas les sentiments de « dgot » et d’inquitude.
Wyze affirme qu’une panne survenue vendredi a empch les clients de visionner les images des camras pendant des heures.
Les camras Wyze ont connu des dysfonctionnements majeurs depuis vendredi, avec des rapports d’appareils disparaissant de l’application Wyze ou affichant des erreurs lors des tentatives de visualisation. Les utilisateurs ont signal ces problmes sur Down Detector, et la socit a mis un avis de service indiquant que ses mesures montrent que les appareils commencent se rtablirn , avec une amlioration continue , tout en enqutant toujours sur les problmes lis l’affichage de l’historique.
Wyze a attribu cette panne un problme avec un partenaire d’Amazon Web Services (AWS) dont l’identit n’a pas t rvle, mais n’a pas fourni de dtails, bien que Amazon Web Services n’ait signal aucun problme ni panne ce moment-l. Le forum de Wyze a t inond de confirmations sur la panne du service, avec de nombreux utilisateurs se rveillant pour constater que leurs camras Wyze ne fonctionnaient pas ou n’apparaissaient mme pas dans l’application.
Certains ont mentionn avoir accd aux images d’une camra situe trois fuseaux horaires de distance. Face cette situation, de nombreuses personnes ont exprim leur intention de diversifier leurs dispositifs de scurit ou d’adopter des solutions offrant des options de visualisation locales. Lundi matin, Wyze a envoy des courriels ses clients, y compris ceux qui, selon Wyze, n’ont pas t touchs, pour les informer que la panne avait permis 13 000 personnes d’accder aux donnes des camras d’inconnus. Voici, ci-dessous, le message complet de Wyze :
Envoy par WyzeVendredi matin, nous avons eu une interruption de service qui a conduit un incident de scurit. Votre compte et plus de 99,75% des comptes Wyze n’ont pas t affects par cet incident de scurit, mais nous voulions vous en informer et vous dire ce que nous faisons pour que cela ne se reproduise plus.
La panne a t provoque par notre partenaire AWS et a mis hors service les appareils Wyze pendant plusieurs heures vendredi matin. Si vous avez essay de visionner des camras ou des vnements en direct pendant cette priode, vous n’avez probablement pas pu le faire. Nous sommes vraiment dsols pour la frustration et la confusion que cela a causes.
Alors que nous nous efforcions de remettre les camras en ligne, nous avons rencontr un problme de scurit. Certains utilisateurs ont signal qu’ils voyaient les mauvaises vignettes et vidos d’vnements dans leur onglet vnements. Nous avons immdiatement supprim l’accs l’onglet « vnements » et entam une enqute.
Nous pouvons maintenant confirmer que lors du rtablissement des camras, environ 13 000 utilisateurs de Wyze ont reu des vignettes de camras qui n’taient pas les leurs et que 1 504 utilisateurs ont cliqu sur ces vignettes. La plupart des clics ont permis d’agrandir la vignette, mais dans certains cas, une vido de l’vnement a pu tre visionne. Tous les utilisateurs concerns ont t informs. Votre compte ne fait pas partie des comptes affects.
L’incident a t caus par une bibliothque client de mise en cache tierce qui a t rcemment intgre dans notre systme. Cette bibliothque client a t soumise des conditions de charge sans prcdent en raison de la remise en service simultane de plusieurs appareils. En raison de l’augmentation de la demande, elle a confondu l’ID de l’appareil et l’ID de l’utilisateur et a connect certaines donnes des comptes incorrects.
Pour viter que cela ne se reproduise, nous avons ajout une nouvelle couche de vrification avant que les utilisateurs ne soient connects Event Videos. Nous avons galement modifi notre systme afin de contourner la mise en cache pour les vrifications des relations utilisateur-appareil jusqu’ ce que nous identifiions de nouvelles bibliothques client qui sont soumises des tests de stress complets pour des vnements extrmes comme ceux que nous avons connus vendredi.
Nous savons que cette nouvelle est trs dcevante. Elle ne reflte pas notre engagement protger nos clients ni les autres investissements et actions que nous avons raliss ces dernires annes pour faire de la scurit une priorit absolue chez Wyze. Nous avons mis en place une quipe de scurit, implment de nombreux processus, cr de nouveaux tableaux de bord, maintenu un programme de chasse aux bugs, et nous tions soumis de nombreux audits et tests de pntration par des tiers lorsque cet vnement s’est produit.
Nous devons faire plus et tre meilleurs, et nous le ferons. Nous sommes dsols de cet incident et nous nous engageons rtablir votre confiance.
L’quipe Wyze
En rponse des clients ayant signal qu’ils visionnaient des images provenant de camras d’inconnus, Wyze a dclar avoir bloqu l’accs l’onglet « vnements », puis avoir exig une vrification supplmentaire pour accder la section Vido d’vnements de l’application Wyze. David Crosby, cofondateur et directeur gnral de Wyze, a galement dclar que Wyze avait dconnect les personnes qui avaient utilis l’application Wyze vendredi afin de rinitialiser les jetons.
Les courriels de Wyze indiquent galement que la socit a modifi son systme pour contourner la mise en cache des vrifications des relations entre l’utilisateur et l’appareil jusqu’ ce qu’elle identifie de nouvelles bibliothques de clients qui sont soumises des tests de stress complets pour des vnements extrmes comme celui qui s’est produit vendredi.
Les utilisateurs s’attendent ce que les entreprises garantissent la protection de leurs donnes, indpendamment des tiers impliqus. La rcente faille de scurit chez Wyze, exposant temporairement l’intrieur des maisons de milliers de clients, souligne la ncessit cruciale de la fiabilit et de la scurit dans le secteur des camras de scurit.
Cette situation met en lumire une dfaillance importante dans la protection de la vie prive des utilisateurs. Cette incident soulve des inquitudes srieuses quant la confiance des consommateurs dans la marque. Le nombre initial de personnes touches, mentionn 14, puis rvis 13 000, suggre un manque de transparence initial, ce qui peut contribuer une perte de confiance supplmentaire.
Ce qui pourrait inciter les clients se tourner vers des concurrents de Wyze, recherchant des alternatives offrant des garanties de scurit plus solides. Des entreprises concurrentes, comme Blink ou TP-Link, pourraient capitaliser sur cette faille en mettant en avant leurs propres mesures de scurit renforces pour attirer les utilisateurs proccups par la confidentialit de leurs donnes.
Source : Wize
Et vous ?
Quel est votre avis sur le sujet ?
Dans quelle mesure Wyze partage-t-il la responsabilit avec son partenaire AWS, et quels changements spcifiques envisage-t-il pour renforcer la scurit de cette collaboration l’avenir ?
Voir aussi :